News

EuGH: EU-US-Datenschutzschild – kein angemessener Schutz

Bearbeiter: Barbara Tuma

DSGVO: Art 44 ff

Die Prüfung des Beschlusses 2010/87 der Kommisssion über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union (GRC) hat nichts ergeben, was seine Gültigkeit berühren könnte. Der Beschluss enthält nämlich wirksame Mechanismen, die in der Praxis gewährleisten können, dass das Schutzniveau des Unionsrechts eingehalten wird und Datenübermittlungen ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist.

Den EU-US-Privacy Shield-Beschluss 2016/1250 der Kommisssion erklärt der EuGH hingegen für ungültig: Die Überwachungsprogramme der amerikanischen Behörden sind nicht auf das zwingend erforderliche Maß beschränkt und der vorgesehene Ombudsmechanismus garantiert nicht die Unabhängigkeit der Ombudsperson und gewährleistet auch nicht, dass die Ombudsperson ermächtigt wäre, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen.

EuGH 16. 7. 2020, C-311/18, Facebook Ireland und Schrems

Ausgangslage

Zu einem irischen Vorabentscheidungsersuchen.

Nach der VO (EU) 2016/679 [zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten...] (DSGVO) dürfen personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Stellt die EU-Kommission nach Art 45 DSGVO fest, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet, bedarf die Datenübermittlung keiner besonderen Genehmigung. Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine Datenübermittlung nur erfolgen, wenn der Exporteur der personenbezogenen Daten geeignete Garantien vorsieht (die sich ua aus Standarddatenschutzklauseln ergeben können, die von der Kommission erarbeitet wurden) und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügen (Art 46 Abs 1 und Abs 2 Buchst c DSGVO). Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen (Art 49 DSGVO)).

Die personenbezogenen Daten aller Nutzer mit Wohnsitz in der EU werden von Facebook Ireland ganz oder teilweise an Server der Facebook Inc in den USA übermittelt und dort verarbeitet.

Herr Schrems legte bei der irischen Aufsichtsbehörde eine Beschwerde gegen diese Datenübermittlungen ein, weil das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die übermittelten Daten böten. Seine Beschwerde wurde ua mit der Begründung zurückgewiesen, die Kommission habe in ihrer Entscheidung 2000/5205 festgestellt, dass die USA ein angemessenes Schutzniveau gewährleisteten (sogenannte „Safe-Harbour-Entscheidung“; ABl 2000, L  15, S 7). Diese „Safe-Harbour-Entscheidung“ der Kommission wurde vom EuGH für ungültig erklärt (EuGH 6. 10. 2015, C-362/14, Rechtsnews 20348; Urteil Schrems I).

Im weiteren Verfahren ging man zunächst davon aus, dass Facebook Ireland die Datenübermittlung auf Grundlage der Standardschutzklauseln gem Kommissions-Beschlusses 2010/877 vornimmt (ABl 2010, L 39, S 5, idF des Durchführungsbeschlusses (EU) 2016/2297, ABl 2016, L 334, S 100). Nachdem der irische High Court mit der Frage der Gültigkeit dieses Beschlusses 2010/87 über Standardvertragsklauseln befasst worden war, erließ die Kommission den Beschluss (EU) 2016/1250 über die Angemessenheit des Schutzes durch das EU-US-Datenschutzschild („Privacy-Shield-Beschluss“; ABl 2016, L 207, S 1).

Mit dem vorliegenden Vorabentscheidungsersuchen richtet der irische High Court mehrere Fragen an den EuGH, ua betr die Gültigkeit sowohl des Beschlusses 2010/87 über Standardvertragsklauseln als auch des Privacy Shield-Beschlusses 2016/1250.

Entscheidung

Schutzniveau bei Datenübermittlung in ein Drittland

Zu den Fragen des irischen High Court hält der EuGH zunächst fest, dass das Unionsrecht, insb die DSGVO, auf eine Übermittlung personenbezogener Daten zu gewerblichen Zwecken durch einen Wirtschaftsteilnehmer mit Sitz in der EU an einen anderen Wirtschaftsteilnehmer mit Sitz in einem Drittland Anwendung findet, auch wenn die Daten bei ihrer Übermittlung oder im Anschluss daran von den Behörden des betreffenden Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können. Eine derartige Datenverarbeitung durch die Behörden eines Drittlands kann nicht dazu führen, dass eine solche Übermittlung vom Anwendungsbereich der DSGVO ausgenommen wäre.

Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, müssen ein Schutzniveau genießen, das dem Niveau gleichwertig ist, das in der Union durch die DSGVO im Licht der GRC garantiert wird. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem Datenexporteur und dem Empfänger der Übermittlung vereinbart wurden, als auch die maßgeblichen Aspekte der Rechtsordnung dieses Drittlands, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten Daten betrifft.

Sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, sind die Aufsichtsbehörden insb verpflichtet, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann.

Beschluss 2010/87 über Standardvertragsklauseln gültig

Die Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln sieht der EuGH nicht schon dadurch in Frage gestellt, dass die in diesem Beschluss enthaltenen Standarddatenschutzklauseln aufgrund ihres Vertragscharakters die Behörden des Drittlands nicht binden. Vielmehr hängt die Gültigkeit des Beschlusses davon ab, ob dieser wirksame Mechanismen enthält, die in der Praxis gewährleisten können, dass das Schutzniveau des Unionsrechts eingehalten wird und dass Datenübermittlungen ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist.

Derartige Mechanismen sieht der Beschluss 2010/87 vor: Gem dem Beschluss müssen der Datenexporteur und der Empfänger der Übermittlung vorab prüfen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird. Gegebenenfalls muss der Empfänger dem Datenexporteur mitteilen, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

Privacy-Shield-Beschluss 2016/1250 ungültig

Bei der Prüfung der Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DSGVO im Licht der GRC stellt der EuGH jedoch fest, dass in diesem Beschluss (ebenso wie in der Safe-Harbour-Entscheidung 2000/520) den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden (Grundrechte Achtung des Privat- und Familienlebens, Schutz personenbezogener Daten und Recht auf effektiven gerichtlichen Rechtsschutz).

Da die amerikanischen Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind, sind die im Privacy-Shield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten durch den Zugriff amerikanischer Behörden nicht so geregelt, dass damit Anforderungen erfüllt würden, die der Sache nach den Anforderungen gleichwertig wären, die im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehen. Gestützt auf die Feststellungen im Privacy-Shield-Beschluss weist der EuGH darauf hin, dass die betreffenden Vorschriften hinsichtlich bestimmter Überwachungsprogramme in keiner Weise erkennen lassen, dass für die darin enthaltene Ermächtigung zur Durchführung dieser Programme Einschränkungen bestehen; genauso wenig ist ersichtlich, dass für die potenziell von diesen Programmen erfassten Personen Garantien existieren. Diese Vorschriften sehen zwar Anforderungen vor, die von den amerikanischen Behörden bei der Durchführung der Überwachungsprogramme einzuhalten sind, verleihen den betroffenen Personen aber keine Rechte, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.

Entgegen den Feststellungen der Kommission im Privacy-Shield-Beschluss 2016/1250 eröffnet der vorgesehene Ombudsmechanismus den betroffenen Personen keinen Rechtsweg zu einem Organ, das Garantien böte, die den unionsrechtlichen Garantien der Sache nach gleichwertig wären, dh Garantien, die sowohl die Unabhängigkeit der Ombudsperson als auch das Bestehen von Normen gewährleisten, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen.

Aus all diesen Gründen erklärt der EuGH den Beschluss 2016/1250 für ungültig.

Artikel-Nr.
Rechtsnews Nr. 29396 vom 17.07.2020